Datenschutz in Europa Sieg für Verbraucherschützer, Weckruf für Unternehmen

Anbieter zum Thema

FTAPI Software GmbH

Insider Research

valvisio international AG

Der Europäische Gerichtshof (EuGH) hat Verbraucherschutz­verbände als Wächter bei Datenschutz­verstößen gestärkt. Die Verbraucherzentrale Bundesverband (vzbv) bekam grünes Licht aus Luxemburg, um gegen den Facebook-Mutterkonzern Meta im Falle von Datenschutzverstößen vorzugehen. Sie müssen dafür nicht von betroffenen Nutzern beauftragt werden.

Worum ging es?

Was große Internetkonzerne und Social-Media-Plattformen dürfen und was nicht, ist immer wieder Gegenstand von Gerichtsentscheidungen auf EU-Ebene. Der vzbv hatte schon im Jahre 2012, damals noch gegen Facebook Irland, beanstandet, dass das Angebot kostenloser Spiele von Drittanbietern in einem App-Zentrum der Plattform gegen Datenschutzrecht und andere Regelungen verstoße. Die Unterlassungsklage der Verbraucherschützer hatte in erster und zweiter Instanz Erfolg. Der Bundesgerichtshof (BGH) hegte dagegen Zweifel an der Zulässigkeit der Klage, da sich mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 die Rechtslage geändert habe. Bei solchen Zweifeln müssen nationale Gerichte den Fall dem EuGH in Luxemburg vorlegen, da nur er über die Auslegung des EU-Rechts entscheiden darf. Der BGH stellte dem EuGH daher die Frage, ob die Einhaltung des Datenschutzes nun Sache der Aufsichtsbehörden sei.

Was sagt das EuGH dazu?

Mit der neusten Entscheidung des EuGH (Urteil vom 28.04.22, C-319/20) steht fest: Verbraucherverbände dürfen klagen, wenn ein Datenverarbeitungsvorgang die Rechte einer Person verletzt. Ein konkreter Schaden einer bestimmten Person muss nicht dargelegt werden, auch brauchen die Verbraucherverbände nicht von einer betroffenen Person mit der Klage beauftragt werden. Nach Ansicht der Luxemburger Richert sei es Ziel der DSGVO, „ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten“. Die Bedingungen für das Recht des vzbv zu klagen seien erfüllt. Es liege im öffentlichen Interesse, „die Rechte der Verbraucher zu gewährleisten“.

Welche Konsequenzen ergeben aus diesem Urteil für Unternehmen?

Verbraucherverbände spielen insbesondere in Deutschland eine große Rolle, wenn es um den Schutz von Verbraucherrechten gegenüber großen Unternehmen geht. Schwerpunkte waren bisher die Einhaltung der von der EU eingeführten Verbraucherschutzgesetze im Bereich des Online-Handels. Oft ging es um die Rechtmäßigkeit von allgemeinen Geschäftsbedingungen (AGB), Widerrufsrechten und Informationspflichten. Nun wird auch das Datenschutzrecht hinzukommen. Unternehmen müssen künftig damit rechnen, dass ihre Praktiken von Verbraucherschutzverbänden auch aus datenschutzrechtlicher Sicht überprüft und Missstände beanstandet werden.

Besonders in den Fokus der Verbraucherschützer dürften dabei öffentlich zugängliche Datenschutzthemen wie Datenschutzhinweise, Cookie-Banner, das Tracking und die Analyse der Nutzerverhaltens bspw. durch Google Analytics und Betroffenenrechte stehen. Mögliche Verstöße liegen offen zu Tage und können leicht festgestellt werden. So setzt der um Max Schrems gegründete Verein NOYB („None of Your Business“ – Deutsch: Das geht Dich nichts an) automatisierte Tools zur Prüfung von Webseiten auf ihre Datenschutzkonformität ein. Und NOYB scheut nicht davor zurück, seine Ergebnisse in hunderten von Anzeigen den Aufsichtsbehörden zu melden.

Wer ist denn Max Schrems?

Max Schrems ist berühmt geworden, weil er als österreichischer Jura-Student mit seinen Klagen gegen Facebook vor dem EuGH schon zwei Mal EU-Datenschutzabkommen mit den USA zu Fall gebracht hat,

Haben Unternehmen noch mehr zu befürchten?

Das Urteil beschäftigt sich ausschließlich mit der Frage, ob Verbände Unternehmen verklagen dürfen, damit die ein bestimmtes Verhalten unterlasen. Um direkte Zahlungen ging es nicht.

Zukünftig dürfen Verbraucherverbände aber sogar auf Schadensersatz klagen. Bis 2023 muss Deutschland die EU-Verbandsklagerichtlinie in deutsches Recht umsetzen. Diese ähnelt auf den ersten Blick der Musterfeststellungsklage, die der deutsche Gesetzgeber als Reaktion auf die Volkswagen-Dieselklagen eingeführt hat. Die neuen Möglichkeiten gehen aber weit darüber hinaus. Insbesondere ist die EU-Verbandsklage nicht auf eine Feststellungsklage beschränkt. Vielmehr können auch Ansprüche auf Reparatur, Ersatzleistung, Preisminderung, Vertragsauflösung oder Rückerstattung des gezahlten Preises – und auch Schadensersatz – geltend gemacht werden.

Gibt es jetzt schon Schadensersatzklagen?

Ja, ach das. Das Landgericht München hat ein Unternehmen dazu verurteilt, einem Besucher der Firmenwebseite einen Schadensersatzanspruch von 100 EUR zu zahlen. In die Webseite waren Schriften von Google eingebunden, sogenannte Fonts. Besucht ein Nutzer die Webseite, stellt diese einen Verbindung zu einem Google-Server in den USA her und übermittelt die pseudonyme IP-Adresse des Nutzers. Das beklagte Unternehmen hatte dafür keine Einwilligung des Nutzers eingeholt. Für den Schadensersatzanspruch reichte es dem Gericht aus, dass der Kläger ein von ihm behauptetes Unwohlsein spüre, da er nicht wisse, was mit seiner IP-Adresse passiere.

Aber 100 EUR sind doch nicht viel!?

Das stimmt. Aber stellen Sie sich einmal die Webseite eines Online-Shops oder einer Bank vor. Wenn 10.000 Nutzer einen Schadensersatz von 100 EUR geltend machen, wird es teuer. Findige Start-ups aus dem Bereich LegalTech könnten auf die Idee kommen, solche Ansprüche mit Hilfe einer App und weitgehend automatisiert geltend zu machen. Denken Sie nur an die Geltendmachung von Fluggastrechten durch Unternehmen wie Flightright. Und noch teurer kann es werden, wenn solche Ansprüche gebündelt geltend gemacht werden. Ob das zulässig ist, ist allerdings noch umstritten.

Was ist zu tun?

Es ist somit höchste Zeit, Defizite im Umgang mit der DSGVO auszumerzen, um Klagen, Bußgeldern und Schadenersatzforderungen zu entgehen. Anfangen sollten Unternehmen mit den öffentlich zugänglichen Datenschutzerklärungen und Cookie-Hinweisen, und sie sollten einen Prozess für Auskunftsanfragen von Kunden und Mitarbeitern haben.

Über den Autor: Hagen Küchler ist Rechtsanwalt in der Kanzlei FPS PartGmbB, in Frankfurt am Main. Er unterstützt Unternehmen bei der Einhaltung der Datenschutzvorschriften und der Digitalisierung ihrer Prozesse.

(ID:48415155)